Vous pouvez utiliser des serveurs proxy dans ChromeOS pour fournir une protection entre votre organisation et les sites consultés par vos utilisateurs. Les serveurs proxy peuvent filtrer les contenus dangereux ou indésirables, masquer les adresses IP des utilisateurs ou filtrer des sites Web spécifiques.
Lorsque vous utilisez des serveurs proxy, le processus est le suivant:
- Les requêtes de site passent par le serveur proxy.
- Le serveur transmet ensuite les requêtes au site Web.
- Le site web renvoie la page web au serveur proxy.
- Le serveur réachemine la page Web vers l'appareil de l'utilisateur.
Comment choisir un proxy ?
ChromeOS est compatible avec différents schémas de proxy, selon les besoins de votre organisation, comme la sécurité, le trafic à envoyer par proxy ou l'endroit où la résolution DNS doit s'effectuer. Pour afficher tous les schémas de proxy compatibles avec ChromeOS et obtenir des informations détaillées sur leur mise en œuvre, consultez Compatibilité des proxys dans Chrome.
Certaines configurations de proxy peuvent ne pas être compatibles avec d'autres paramètres réseau. Par exemple, lorsqu'un proxy est configuré dans ChromeOS, la résolution DNS s'effectue côté serveur, à l'exception des proxys socks4, ce qui le rend incompatible avec les configurations DNS personnalisées.
Lorsque vous choisissez le mécanisme d'authentification par proxy, différents composants au niveau de ChromeOS ont des capacités réseau différentes ou inférieures de celles du navigateur Chrome.
Authentification par proxy au niveau de ChromeOS
Lorsqu'un utilisateur se connecte au navigateur Chrome, son nom d'utilisateur et son mot de passe sont stockés dans le cache d'authentification associé à son profil. Ils ne sont accessibles que pour le navigateur Chrome que la navigation utilisateur demande dans le navigateur OS.
Cela signifie que les services système qui nécessitent une connectivité dans le navigateur Chrome, tels que les mises à jour des règles ou l'enregistrement en mode kiosque, et sur l'OS, tels que les mises à jour de l'OS, la mise en ligne de rapports d'erreur ou la synchronisation de l'heure du système, n'ont pas accès aux noms d'utilisateur et aux mots de passe. Les administrateurs réseau doivent s'assurer que le trafic généré par les services système contourne l'étape d'authentification.
Cela s'applique également au trafic sur Google Play et les applications Google Play.
Pour obtenir la liste des points de terminaison utilisés par les services système et Google Play qui doivent contourner l'étape d'authentification sur le proxy, consultez la section Listes d'exemption de l'authentification par proxy.
Pour réduire considérablement la liste d'exemption du proxy sur les appareils enregistrés, configurez la règle SystemProxySettings de manière à autoriser l'authentification par un service de l'OS des services système sur l'OS et du trafic Google Play. Pour en savoir plus, consultez le paramètre "Trafic proxy authentifié" dans Définir des règles relatives aux appareils ChromeOS.
De plus, les certificats CA personnalisés ne sont appliqués que pour le trafic utilisateur. Lorsque le proxy effectue une inspection TLS, le trafic système et le trafic Android doivent être autorisés à contourner l'inspection. Consultez Configurer l'inspection TLS (ou SSL) sur les appareils Chrome > Configurer une liste d'autorisation de noms d'hôtes.
Configurer un proxy explicite sur ChromeOS
Paramètre à utiliser
Vous pouvez configurer des proxys sur ChromeOS pour des réseaux individuels ou, de manière globale, pour tous les réseaux de votre organisation. Les configurations de proxy sont listées ci-dessous par ordre de priorité:
- Règle utilisateur ProxySettings : global
- Extensions : global
- Règle utilisateur OpenNetworkConfiguration : par réseau
- Règle appareil DeviceOpenNetworkConfiguration : par réseau
- Interface utilisateur des paramètres réseau : définie par l'utilisateur par réseau
En général, les configurations de proxy s'appliquent à l'ensemble de l'OS, sauf dans les cas où les utilisateurs doivent autoriser explicitement la configuration du proxy dans le navigateur:
- Par défaut, les proxys définis par une extension sont désactivés en mode navigation privée. Les utilisateurs doivent autoriser explicitement l'extension qui contrôle le proxy à s'exécuter en mode navigation privée depuis la page chrome://extensions.
Vous ne pouvez pas appliquer de proxys définis par une extension en mode navigation privée, mais vous pouvez bloquer la navigation privée si une extension préconfigurée n'est pas autorisée par l'utilisateur en mode navigation privée. Pour en savoir plus, consultez la règle MandatoryExtensionsForIncognitoNavigation. - Si vous utilisez des profils secondaires Lacros, les utilisateurs peuvent activer ou désactiver l'utilisation du proxy configuré sur le système d'exploitation en accédant à la page chrome://settings/system et en activant Utiliser les paramètres proxy ChromeOS pour ce profil.
Format de configuration du proxy à utiliser
ChromeOS est compatible avec les formats de proxy suivants:
- Manuel : une liste statique d'identifiants de proxy ainsi qu'une liste d'exemption des points de terminaison devant contourner le proxy
- Script PAC : fichier JavaScript permettant de définir des règles plus complexes pour déterminer le proxy à utiliser pour une URL.
- Détection automatique : protocole WPAD (Web Proxy Auto-Discovery Protocol), un mécanisme de découverte dans lequel le DNS ou le DHCP sont examinés afin d'obtenir l'URL PAC.
- Direct : pseudo-proxy qui signifie qu'aucun proxy n'est utilisé
Lorsque vous choisissez un format, gardez à l'esprit les points suivants:
- La résolution du proxy s'effectue avant la résolution du nom. Si la liste d'exemption du proxy est configurée à l'aide de valeurs littérales d'adresse IP, l'exception n'est prise en compte que si l'utilisateur accède à l'adresse IP spécifique, et non au nom d'hôte associé à cette adresse. Pour en savoir plus, consultez Règles de contournement de proxy.
- Les éléments suivants s'appliquent à la compatibilité du proxy Android :
- Les URL PAC avec un schéma data:// ne sont pas acceptées
- Pour les paramètres proxy manuels, la liste d'exemption n'accepte pas les caractères spéciaux pour les adresses IPv6 ni les caractères non-ASCII
Listes d'exemption pour l'authentification par proxy
Services système ChromeOS
| Service Chrome/ChromeOS | Noms d'hôtes |
|---|---|
| Essentiel | |
| DMServer | m.google.com |
| Réenregistrement forcé, pour l'accès validé | chromeos-ca.gstatic.com |
| ChromeOS – Mises à jour automatiques | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| ChromeOS : journal de mise à jour du générateur de rapports d'erreur Chrome : journaux de mise à jour de WebRTC |
clients2.google.com |
| ChromeOS : synchronisation de l'horloge système tlsdate | clients3.google.com |
| Détection de portail captif | www.gstatic.com, accounts.google.com ou www.googleapis.com |
| Mettre des rapports en ligne pour résoudre les problèmes, télécharger Crostini, etc. | storage.googleapis.com |
| Divers services d'API | www.googleapis.com |
| Domaine utilisé par Google : séparez-le de *.google.com pour éviter les attaques XSS. | *.1e100.net |
| URL Bandaid : certaines requêtes sont redirigées vers l'infrastructure de mise en cache de Google, ce qui accélère le téléchargement de l'application. | *.gvt1.com |
| Télécharger les mises à jour automatiques, les images statiques, etc. | dl.google.com dl-ssl.google.com |
| Mises à jour des composants Chrome (chrome://components) | update.googleapis.com |
| Fortement recommandé | |
| Navigation sécurisée | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Le serveur de synchronisation des comptes Chrome permet de synchroniser les données utilisateur telles que les favoris, la collecte de métriques utilisateur et d'autres services. | clients4.google.com |
| Suggestions de documents dans l'omnibox | cloudsearch.googleapis.com |
| Télécharger les personnalisations OEM (entre autres) | ssl.gstatic.com |
|
Contenus tiers ou générés par les utilisateurs, tels que les pilotes d'imprimante ou les extensions googleusercontent.com protège les principales propriétés Google contre les contenus générés par les utilisateurs susceptibles de contenir des bugs ou de rendre le domaine vulnérable face aux attaques de type "script intersites". |
*.googleusercontent.com |
| Compatibilité avec les imprimantes : téléchargement du PDD de l'imprimante | printerconfigurations.googleusercontent.com |
| Prise en charge des périphériques : instructions spécialisées sur la meilleure façon de s'adapter à différents appareils connectés ; actuellement compatibles avec les imprimantes et les écrans | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Noms d'hôtes |
|---|---|
| Essentiel | |
| Indispensable pour le provisionnement et l'installation d'applications | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging, points de terminaison principaux GMS gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Autre | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Extensions et kiosque
| Service Chrome/ChromeOS | Noms d'hôtes |
|---|---|
| Essentiel | |
| Point de terminaison de téléchargement d'extension | clients2.google.com clients2.googleusercontent.com chrome.google.com |